《CISSP官方學習指南(第7版)》是完整涵蓋2015年CISSP認證知識體系的一站式資源，100%覆蓋了2015年CISSP CIB考點?？梢酝ㄟ^本書更明智、更快捷地準備考試，包括檢查備考情況的評估測試、目標地圖、真實場景、實踐練習、關鍵主題考試要點和有挑戰(zhàn)的章末復習題。通過Sybex提供的獨特的在線學習環(huán)境和測試題庫(它們可以在多種設備上訪問)，進一步增強你的考試能力。開始使用本書準備CISSP考試吧！

目錄

第1章 通過原則和策略的安全治理 1
1.1 理解和應用機密性、完整性
和可用性的概念 2
1.1.1 機密性 2
1.1.2 完整性 3
1.1.3 可用性 4
1.1.4 其他安全概念 5
1.1.5 保護機制 8
1.2 應用安全治理原則 9
1.2.1 安全功能戰(zhàn)略、目標、
任務和愿景的一致 9
1.2.2 組織流程 11
1.2.3 安全角色和責任 15
1.2.4 控制架構 16
1.2.5 應盡關注和應盡職責 16
1.3 開發(fā)和文檔化安全策略、
標準、指導方針和程序 17
1.3.1 安全策略 17
1.3.2 安全標準、基準及指南 18
1.3.3 安全程序 18
1.4 理解和應用威脅建模 19
1.4.1 識別威脅 20
1.4.2 確定和用圖表示潛在攻擊 22
1.4.3 執(zhí)行降低分析 23
1.4.4 優(yōu)先級和響應 23
1.5 把安全風險考慮到收購
策略和實踐中 24
1.6 本章小結 25
1.7 考試要點 26
1.8 書面實驗室 28
1.9 復習題 28
第2章 人員安全和風險管理概念 31
2.1 促進人員安全策略 32
2.1.1 篩選候選人 34
2.1.2 雇傭協(xié)議和策略 34
2.1.3 解雇員工的流程 35
2.1.4 供應商、顧問和承包商控制 37
2.1.5 合規(guī)性 38
2.1.6 隱私 38
2.2 安全治理 39
2.3 理解和應用風險管理概念 39
2.3.1 風險術語 40
2.3.2 識別威脅和脆弱性 42
2.3.3 風險評估/分析 43
2.3.4 風險分配/接受 48
2.3.5 對策的選擇和評估 49
2.3.6 實施 50
2.3.7 控制的類型 51
2.3.8 監(jiān)控和測量 52
2.3.9 資產(chǎn)評估 52
2.3.10 持續(xù)改進 53
2.3.11 風險框架 54
2.4 建立和管理信息安全教育、
培訓和意識 55
2.5 管理安全功能 56
2.6 本章小結 57
2.7 考試要點 57
2.8 書面實驗室 59
2.9 復習題 59
第3章 業(yè)務連續(xù)性計劃 63
3.1 業(yè)務連續(xù)性計劃 63
3.2 項目范圍與計劃 64
3.2.1 業(yè)務組織分析 65
3.2.2 BCP團隊的選擇 65
3.2.3 資源要求 66
3.2.4 法律和法規(guī)要求 67
3.3 業(yè)務影響評估 68
3.3.1 確定優(yōu)先級 69
3.3.2 風險識別 69
3.3.3 可能性評估 70
3.3.4 影響評估 71
3.3.5 資源優(yōu)先級劃分 72
3.4 連續(xù)性計劃 72
3.4.1 策略開發(fā) 73
3.4.2 預備和處理 73
3.4.3 計劃批準和實現(xiàn) 74
3.4.4 計劃實現(xiàn) 75
3.4.5 培訓和教育 75
3.5 BCP文檔化 75
3.5.1 連續(xù)性計劃的目標 75
3.5.2 重要性聲明 76
3.5.3 優(yōu)先級聲明 76
3.5.4 組織職責的聲明 76
3.5.5 緊急程度和時限的聲明 76
3.5.6 風險評估 76
3.5.7 可接受的風險/風險緩解 77
3.5.8 重大記錄計劃 77
3.5.9 響應緊急事件的指導原則 77
3.5.10 維護 78
3.5.11 測試和演習 78
3.6 本章小結 78
3.7 考試要點 79
3.8 書面實驗室 79
3.9 復習題 79
第4章 法律、法規(guī)和合規(guī)性 83
4.1 法律的分類 84
4.1.1 刑法 84
4.1.2 民法 85
4.1.3 行政法 85
4.2 法律 86
4.2.1 計算機犯罪 86
4.2.2 知識產(chǎn)權 89
4.2.3 進口/出口 94
4.2.4 隱私 95
4.3 合規(guī)性 99
4.4 合同與采購 100
4.5 本章小結 101
4.6 考試要點 101
4.7 書面實驗室 102
4.8 復習題 102
第5章 保護資產(chǎn)的安全 107
5.1 對資產(chǎn)進行分類和標記 107
5.1.1 定義敏感數(shù)據(jù) 108
5.1.2 定義分類 109
5.1.3 定義數(shù)據(jù)安全要求 111
5.1.4 理解數(shù)據(jù)狀態(tài) 112
5.1.5 管理敏感數(shù)據(jù) 112
5.1.6 應用密碼學保護機密文件 117
5.2 定義數(shù)據(jù)角色 119
5.2.1 數(shù)據(jù)所有者 119
5.2.2 系統(tǒng)所有者 120
5.2.3 業(yè)務/任務所有者 120
5.2.4 數(shù)據(jù)處理者 121
5.2.5 管理員 121
5.2.6 保管者 121
5.2.7 用戶 122
5.3 保護隱私 122
5.3.1 使用安全基線 122
5.3.2 審視和定制 123
5.3.3 選擇標準 123
5.4 本章小結 124
5.5 考試要點 124
5.6 書面實驗室 125
5.7 復習題 125
第6章 密碼學與對稱加密算法 129
6.1 密碼學歷史上的里程碑 129
6.1.1 凱撒密碼 129
6.1.2 美國內戰(zhàn) 130
6.1.3 Ultra與Enigma 130
6.2 密碼學基礎 131
6.2.1 密碼學的目標 131
6.2.2 密碼學概念 132
6.2.3 密碼學的數(shù)學原理 133
6.2.4 密碼 138
6.3 現(xiàn)代密碼學 143
6.3.1 密鑰 143
6.3.2 對稱密鑰算法 144
6.3.3 非對稱密鑰算法 145
6.3.4 散列算法 147
6.4 對稱密碼 147
6.4.1 數(shù)據(jù)加密標準 148
6.4.2 三重數(shù)據(jù)加密算法(3DES) 149
6.4.3 國際數(shù)據(jù)加密算法(IDEA) 150
6.4.4 Blowfish 150
6.4.5 Skipjack 151
6.4.6 高級加密標準(AES) 151
6.4.7 對稱密鑰管理 152
6.4.8 密碼生命周期 154
6.5 本章小結 154
6.6 考試要點 154
6.7 書面實驗室 155
6.8 復習題 156
第7章 PKI和密碼學應用 159
7.1 非對稱密碼學 159
7.1.1 公鑰與私鑰 160
7.1.2 RSA 160
7.1.3 El Gamal 161
7.1.4 橢圓曲線密碼系統(tǒng)(ECC) 162
7.2 散列函數(shù) 162
7.2.1 SHA 163
7.2.2 MD2 164
7.2.3 MD4 164
7.2.4 MD5 165
7.3 數(shù)字簽名 165
7.3.1 HMAC 166
7.3.2 數(shù)字簽名標準 167
7.4 公鑰基礎設施(PKI) 167
7.4.1 證書 167
7.4.2 證書授權機構 168
7.4.3 證書的生成與撤消 169
7.4.4 非對稱密鑰的管理 170
7.5 密碼學的應用 171
7.5.1 便攜式設備 171
7.5.2 電子郵件 171
7.5.3 Web應用 172
7.5.4 數(shù)字版權管理(DRM) 174
7.5.5 網(wǎng)絡連接 176
7.6 密碼學攻擊 179
7.7 本章小結 181
7.8 考試要點 181
7.9 書面實驗室 182
7.10 復習題 183
第8章 安全模型的原則、
設計和功能 187
8.1 使用安全設計原則實施和
管理工程過程 187
8.1.1 客體和主體 188
8.1.2 封閉式系統(tǒng)和開放式系統(tǒng) 188
8.1.3 用于確保機密性、完整性和
可用性的技術 189
8.1.4 控制 190
8.1.5 信任與保證 190
8.2 理解安全模型的基本概念 191
8.2.1 可信計算基 192
8.2.2 狀態(tài)機模型 193
8.2.3 信息流模型 193
8.2.4 無干擾模型 194
8.2.5 Take-Grant 模型 194
8.2.6 訪問控制矩陣 195
8.2.7 Bell-LaPadula模型 196
8.2.8 Biba模型 197
8.2.9 Clark-Wilson模型 199
8.2.10 Brewer and Nash模型
(也叫作Chinese Wall) 200
8.2.11 Goguen-Meseguer模型 200
8.2.12 Sutherland模型 200
8.2.13 Graham-Denning模型 200
8.3 基于系統(tǒng)安全評估模型
選擇控制和對策 201
8.3.1 彩虹系列 201
8.3.2 TCSEC分類和所需功能 202
8.3.3 彩虹系列中的其他顏色 203
8.3.4 ITSEC類別與所需的
保證和功能性 205
8.3.5 通用準則 206
8.3.6 認證和鑒定 208
8.4 理解信息系統(tǒng)的安全功能 210
8.4.1 內存保護 210
8.4.2 虛擬化 210
8.4.3 可信平臺模塊 211
8.4.4 接口 211
8.4.5 容錯 211
8.5 本章小結 212
8.6 考試要點 212
8.7 書面實驗室 213
8.8 復習題 213
第9章 安全脆弱性、威脅和對施 217
9.1 評估和緩解安全脆弱性 218
9.1.1 硬件 218
9.1.2 存儲器 226
9.1.3 存儲設備 230
9.1.4 存儲介質的安全性 231
9.1.5 輸入和輸出設備 231
9.1.6 固件 233
9.2 基于客戶端 234
9.2.1 applet 234
9.2.2 本地緩存 235
9.3 基于服務端 237
9.4 數(shù)據(jù)庫安全 237
9.4.1 聚合 237
9.4.2 推理 238
9.4.3 數(shù)據(jù)挖掘和數(shù)據(jù)倉庫 238
9.4.4 數(shù)據(jù)分析 239
9.4.5 大規(guī)模并行數(shù)據(jù)系統(tǒng) 239
9.5 分布式系統(tǒng) 239
9.5.1 云計算 241
9.5.2 網(wǎng)格計算 241
9.5.3 點對點 242
9.6 工業(yè)控制系統(tǒng) 242
9.7 評估和緩解基于Web系統(tǒng)的
脆弱性 243
9.8 評估和緩解移動系統(tǒng)的
脆弱性 243
9.8.1 設備安全 244
9.8.2 應用安全 247
9.8.3 BYOD關注點 248
9.9 評估和緩解嵌入式設備和
物聯(lián)網(wǎng)系統(tǒng)的脆弱性 251
9.9.1 嵌入式系統(tǒng)和靜態(tài)
系統(tǒng)的示例 251
9.9.2 安全方法 252
9.10 基本安全保護機制 253
9.10.1 技術機制 254
9.10.2 安全策略與計算機
體系結構 256
9.10.3 策略機制 256
9.11 常見的缺陷和安全問題 257
9.11.1 隱蔽通道 257
9.11.2 基于設計或編碼缺陷的
攻擊和安全問題 258
9.11.3 編程 260
9.11.4 計時、狀態(tài)改變和
通信中斷 260
9.11.5 技術和過程完整性 261
9.11.6 電磁輻射 261
9.12 本章小結 262
9.13 考試要點 262
9.14 書面實驗室 264
9.15 復習題 264
第10章 物理安全需求 269
10.1 應用安全原則到選址和
設施設計 270
10.1.1 安全設施計劃 270
10.1.2 場所選擇 270
10.1.3 可視性 271
10.1.4 自然災害 271
10.1.5 設施的設計 271
10.2 設計和實施物理安全 272
10.2.1 設備故障 273
10.2.2 配線間 273
10.2.3 服務器機房 274
10.2.4 介質存儲設施 275
10.2.5 證據(jù)存儲 276
10.2.6 受限的和工作區(qū)域安全
(例如，運營中心) 276
10.2.7 數(shù)據(jù)中心安全 277
10.2.8 基礎設施和HVAC
注意事項 279
10.2.9 水的問題(例如，漏水
和水災) 281
10.2.10 火災的預防、檢測和
抑制 281
10.3 實施和管理物理安全 285
10.3.1 周邊(例如，訪問控制
和監(jiān)控) 285
10.3.2 內部安全(例如，陪同要求/
訪問者控制、鑰匙和鎖) 287
10.4 本章小結 291
10.5 考試要點 292
10.6 書面實驗室 293
10.7 復習題 294
第11章 網(wǎng)絡安全架構與保護
網(wǎng)絡組件 297
11.1 OSI模型 298
11.1.1 OSI模型的歷史 298
11.1.2 OSI功能 298
11.1.3 封裝/解封裝 299
11.1.4 OSI分層 300
11.2 TCP/IP模型 305
11.2.1 TCP/IP協(xié)議族概述 306
11.2.2 分層協(xié)議的應用 313
11.2.3 TCP/IP的脆弱性 314
11.2.4 域名解析 315
11.3 匯聚協(xié)議 315
11.4 內容分發(fā)網(wǎng)絡 317
11.5 無線網(wǎng)絡 317
11.5.1 保護無線接入點 317
11.5.2 保護SSID 319
11.5.3 執(zhí)行現(xiàn)場勘測 319
11.5.4 使用加密協(xié)議 320
11.5.5 天線位置的確定 322
11.5.6 天線類型 322
11.5.7 調整功率水平控制 323
11.5.8 使用強制門戶 323
11.5.9 一般的Wi-Fi安全措施 323
11.6 保護網(wǎng)絡組件 324
11.6.1 網(wǎng)絡接入控制 325
11.6.2 防火墻 325
11.6.3 終端安全 328
11.6.4 其他網(wǎng)絡設備 328
11.7 布線、無線、拓撲和
通信技術 330
11.7.1 網(wǎng)絡布線 331
11.7.2 網(wǎng)絡拓撲 334
11.7.3 無線通信與安全性 335
11.7.4 LAN技術 339
11.8 本章小結 342
11.9 考試要點 343
11.10 書面實驗室 344
11.11 復習題 345
第12章 安全通信和網(wǎng)絡攻擊 349
12.1 網(wǎng)絡與協(xié)議安全機制 350
12.1.1 安全通信協(xié)議 350
12.1.2 身份認證協(xié)議 351
12.2 安全的語音通信 351
12.2.1 互聯(lián)網(wǎng)語音協(xié)議(VoIP) 352
12.2.2 社會工程學 352
12.2.3 偽造與濫用 353
12.3 多媒體協(xié)作 354
12.3.1 遠程會議 355
12.3.2 即時消息 355
12.4 管理電子郵件的安全性 355
12.4.1 電子郵件安全性的目標 356
12.4.2 理解電子郵件的安全性
問題 356
12.4.3 電子郵件安全性
解決方案 357
12.5 遠程接入安全管理 359
12.5.1 計劃遠程接入安全 360
12.5.2 撥號協(xié)議 361
12.5.3 集中化的遠程身份
認證服務 361
12.6 虛擬專用網(wǎng)絡 362
12.6.1 隧道技術 362
12.6.2 VPN的工作原理 363
12.6.3 常用VPN協(xié)議 363
12.6.4 虛擬局域網(wǎng) 365
12.7 虛擬化 365
12.7.1 虛擬化軟件 366
12.7.2 虛擬化網(wǎng)絡 366
12.8 網(wǎng)絡地址轉換 367
12.8.1 專用IP地址 368
12.8.2 狀態(tài)NAT 369
12.8.3 靜態(tài)NAT與動態(tài)NAT 369
12.8.4 自動私有IP地址尋址 370
12.9 交換技術 371
12.9.1 電路交換 371
12.9.2 分組交換 371
12.9.3 虛電路 372
12.10 WAN技術 372
12.10.1 WAN連接技術 374
12.10.2 X.25 WAN連接 374
12.10.3 幀中繼連接 374
12.10.4 ATM 375
12.10.5 SMDS 375
12.10.6 專門的協(xié)議 375
12.10.7 撥號封裝協(xié)議 375
12.11 各種安全控制特性 376
12.11.1 透明性 376
12.11.2 驗證完整性 376
12.11.3 傳輸機制 377
12.12 安全邊界 377
12.13 網(wǎng)絡攻擊與對策 378
12.13.1 DoS和DDoS 378
12.13.2 偷聽 379
12.13.3 假冒/偽裝 379
12.13.4 重放攻擊 380
12.13.5 修改攻擊 380
12.13.6 地址解析協(xié)議欺騙 380
12.13.7 DNS 投毒、 欺騙和
劫持 381
12.13.8 超鏈接欺騙 381
12.14 本章小結 382
12.15 考試要點 383
12.16 書面實驗室 384
12.17 復習題 385
第13章 管理身份與認證 389
13.1 控制對資產(chǎn)的訪問 389
13.1.1 主體與客體的對比 390
13.1.2 訪問控制的類型 391
13.1.3 CIA三要素 392
13.2 比較身份標識與認證 393
13.2.1 身份的注冊和證明 393
13.2.2 授權與可問責性 393
13.2.3 認證因素 394
13.2.4 密碼 395
13.2.5 智能卡和令牌 397
13.2.6 生物識別 398
13.2.7 多因素身份認證 401
13.2.8 設備認證 401
13.3 實施身份管理 402
13.3.1 單點登錄 402
13.3.2 LDAP和集中式訪問
控制 402
13.3.3 LDAP和PKI 402
13.3.4 Kerberos 403
13.3.5 聯(lián)合身份管理和SSO 404
13.3.6 其他單點登錄的例子 405
13.3.7 證書管理系統(tǒng) 406
13.3.8 整合身份服務 406
13.3.9 管理會話 406
13.3.10 AAA 協(xié)議 407
13.4 管理標識和訪問開通
生命周期 408
13.4.1 開通 408
13.4.2 賬號審核 409
13.4.3 賬號撤消 410
13.5 本章小結 410
13.6 考試要點 411
13.7 書面實驗室 412
13.8 復習題 412
第14章 控制和監(jiān)控訪問 417
14.1 對比訪問控制模型 417
14.1.1 對比許可、權限和特權 418
14.1.2 理解授權機制 418
14.1.3 用安全策略定義需求 419
14.1.4 部署深度防御 419
14.1.5 自主訪問控制 420
14.1.6 非自主訪問控制 421
14.2 理解訪問控制攻擊方式 425
14.2.1 風險元素 425
14.2.2 常見的訪問控制攻擊 428
14.3 本章小結 436
14.4 考試要點 437
14.5 書面實驗室 438
14.6 復習題 438
第15章 安全評估和測試 441
15.1 創(chuàng)建安全評估和測試程序 442
15.1.1 安全測試 442
15.1.2 安全評估 443
15.1.3 安全審計 443
15.2 執(zhí)行漏洞評估 444
15.2.1 漏洞掃描 444
15.2.2 滲透測試 451
15.3 測試你的軟件 452
15.3.1 代碼審查和測試 452
15.3.2 接口測試 455
15.3.3 誤用案例測試 455
15.3.4 測試覆蓋率分析 456
15.4 實現(xiàn)安全管理過程 456
15.4.1 日志審核 456
15.4.2 賬戶管理 456
15.4.3 備份驗證 457
15.4.4 關鍵性能指標和
風險指標 457
15.5 本章小結 457
15.6 考試要點 458
15.7 書面實驗室 458
15.8 復習題 459
第16章 管理安全運營 463
16.1 應用安全運營的概念 464
16.1.1 知其所需和最小特權 464
16.1.2 職責和責任分離 465
16.1.3 崗位輪換 467
16.1.4 強制休假 468
16.1.5 監(jiān)控特殊的特權 468
16.1.6 管理信息生命周期 469
16.1.7 服務級別協(xié)議 470
16.1.8 關注人員安全 470
16.2 提供和管理資源 471
16.2.1 管理硬件和軟件資產(chǎn) 471
16.2.2 保護物理資產(chǎn) 472
16.2.3 管理虛擬資產(chǎn) 472
16.2.4 管理基于云的資產(chǎn) 472
16.2.5 介質管理 473
16.2.6 管理介質的生命周期 475
16.3 配置管理 476
16.3.1 基線 476
16.3.2 用鏡像創(chuàng)建基線 476
16.4 變更管理 478
16.4.1 安全影響分析 479
16.4.2 版本控制 479
16.4.3 配置文檔 480
16.5 補丁管理和減少漏洞 480
16.5.1 補丁管理 480
16.5.2 漏洞管理 481
16.5.3 漏洞掃描 481
16.5.4 漏洞評估 482
16.5.5 常見漏洞和披露 483
16.6 本章小結 483
16.7 考試要點 484
16.8 書面實驗室 485
16.9 復習題 485
第17章 事件預防和響應 489
17.1 管理事件響應 490
17.1.1 事件界定 490
17.1.2 事件響應步驟 491
17.1.3 檢測 491
17.1.4 響應 492
17.1.5 緩解 492
17.1.6 報告 492
17.1.7 恢復 493
17.1.8 修復 493
17.1.9 經(jīng)驗教訓 494
17.2 部署預防措施 494
17.2.1 基本的預防措施 495
17.2.2 理解攻擊 495
17.2.3 入侵檢測和防御系統(tǒng) 502
17.2.4 特殊的防御措施 507
17.3 日志、監(jiān)控和審計 513
17.3.1 日志和監(jiān)控 513
17.3.2 出口監(jiān)控 520
17.3.4 審計和評估有效性 521
17.4 本章小結 525
17.5 考試要點 527
17.6 書面實驗室 529
17.7 復習題 529
第18章 災難恢復計劃 533
18.1 災難的本質 534
18.1.1 自然災難 534
18.1.2 人為災難 538
18.1.3 其他公共設施和基礎
設施故障 539
18.2 理解系統(tǒng)恢復和容錯能力 541
18.2.1 保護硬盤驅動器 542
18.2.2 保護服務器 542
18.2.3 保護電源 543
18.2.4 受信恢復 544
18.2.5 服務質量 545
18.3 恢復策略 545
18.3.1 確定業(yè)務單元的
優(yōu)先順序 546
18.3.2 危機管理 546
18.3.3 應急通信 547
18.3.4 工作組恢復 547
18.3.5 可替代的工作站點 547
18.3.6 相互援助協(xié)議 550
18.3.7 數(shù)據(jù)庫恢復 551
18.4 恢復計劃開發(fā) 552
18.4.1 緊急事件響應 552
18.4.2 人員通知 553
18.4.3 評估 553
18.4.4 備份和離站存儲 553
18.4.5 軟件托管協(xié)議 556
18.4.6 外部通信 556
18.4.7 公用設施 557
18.4.8 物流和供應 557
18.4.9 恢復與還原的比較 557
18.5 培訓、意識與文檔記錄 558
18.6 測試與維護 558
18.6.1 通讀測試 558
18.6.2 結構化演練 559
18.6.3 模擬測試 559
18.6.4 并行測試 559
18.6.5 完全中斷測試 559
18.6.6 維護 559
18.7 總結 560
18.8 考試要點 560
18.9 書面實驗 561
18.10 復習題 561
第19章 事件與道德規(guī)范 565
19.1 調查 565
19.1.1 調查的類型 566
19.1.2 證據(jù) 567
19.1.3 調查過程 570
19.2 計算機犯罪的主要類別 571
19.2.1 軍事和情報攻擊 571
19.2.2 商業(yè)攻擊 572
19.2.3 財務攻擊 572
19.2.4 恐怖攻擊 573
19.2.5 惡意攻擊 573
19.2.6 興奮攻擊 574
19.3 事故處理 575
19.3.1 常見的事故類型 575
19.3.2 響應團隊 576
19.3.3 事故響應過程 578
19.3.4 約談個人 580
19.3.5 事故數(shù)據(jù)的完整性和
保存 580
19.3.6 事故報告 580
19.4 道德規(guī)范 581
19.4.1 (ISC)2的道德規(guī)范 582
19.4.2 道德規(guī)范和互聯(lián)網(wǎng) 582
19.5 本章小結 583
19.6 考試要點 584
19.7 書面實驗室 585
19.8 復習題 585
第20章 軟件開發(fā)安全 589
20.1 系統(tǒng)開發(fā)控制概述 589
20.1.1 軟件開發(fā) 590
20.1.2 系統(tǒng)開發(fā)生命周期 593
20.1.3 生命周期模型 595
20.1.4 甘特圖與PERT 600
20.1.5 變更和配置管理 600
20.1.6 DevOps方法 601
20.1.7 應用編程接口 602
20.1.8 軟件測試 603
20.1.9 代碼倉庫 604
20.1.10 服務等級協(xié)議 604
20.1.11 軟件采購 605
20.2 創(chuàng)建數(shù)據(jù)庫和數(shù)據(jù)倉儲 605
20.2.1 數(shù)據(jù)庫管理系統(tǒng)的
體系結構 605
20.2.2 數(shù)據(jù)庫事務 608
20.2.3 多級數(shù)據(jù)庫的安全性 609
20.2.4 ODBC 610
20.3 存儲數(shù)據(jù)和信息 611
20.3.1 存儲器的類型 611
20.3.2 存儲器威脅 612
20.4 理解基于知識的系統(tǒng) 612
20.4.1 專家系統(tǒng) 612
20.4.2 神經(jīng)網(wǎng)絡 613
20.4.3 決策支持系統(tǒng) 613
20.4.4 安全性應用 614
20.5 本章小結 614
20.6 考試要點 614
20.7 書面實驗室 615
20.8 復習題 615
第21章 惡意代碼與應用攻擊 619
21.1 惡意代碼 619
21.1.1 惡意代碼的來源 620
21.1.2 病毒 620
21.1.3 邏輯炸彈 624
21.1.4 特洛伊木馬 624
21.1.5 蠕蟲 625
21.1.6 間諜軟件與廣告軟件 627
21.1.7 對策 628
21.2 密碼攻擊 629
21.2.1 密碼猜測攻擊 629
21.2.2 字典攻擊 630
21.2.3 社會工程學攻擊 630
21.2.4 對策 631
21.3 應用程序攻擊 631
21.3.1 緩沖區(qū)溢出 632
21.3.2 檢驗時間到使用時間 632
21.3.3 后門 632
21.3.4 權限提升和rootkit 633
21.4 Web應用的安全性 633
21.4.1 跨站腳本(XSS)攻擊 633
21.4.2 SQL注入攻擊 634
21.5 偵察攻擊 636
21.5.1 IP探測 636
21.5.2 端口掃描 637
21.5.3 漏洞掃描 637
21.5.4 垃圾搜尋 637
21.6 偽裝攻擊 638
21.6.1 IP欺騙 638
21.6.2 會話劫持 638
21.7 本章小結 639
21.8 考試要點 639
21.9 書面實驗室 640
21.10 復習題 640
附錄A 復習題答案 643
附錄B 書面實驗室答案 667
術語表 677